Uma falha crítica no popular plugin WP Maps Pro está a ser explorada ativamente por piratas informáticos para comprometer sites WordPress, segundo a informação detalhada pela Wordfence. A vulnerabilidade permite que os atacantes criem contas de administrador de forma remota e sem necessitarem de qualquer autenticação prévia no sistema.
O WP Maps Pro é uma ferramenta premium muito utilizada na criação de mapas interativos, com mais de 15.800 vendas registadas, permitindo a integração de serviços como o Google Maps e o OpenStreetMap. O problema afeta todas as versões iguais ou inferiores à 6.1.0 e foi classificado com um nível de gravidade crítico pelo investigador de segurança David Brown.
Como funciona a exploração do plugin
A origem desta vulnerabilidade, identificada como CVE-2026-8732, encontra-se numa funcionalidade de acesso temporário desenhada para permitir que a equipa de suporte técnico do criador entrasse nos sites dos clientes para resolver problemas. No entanto, o ponto de acesso para este recurso estava exposto a qualquer utilizador não autenticado e dependia de uma fraca validação de segurança presente apenas no lado do cliente.
Ao manipular o pedido para os servidores, os atacantes conseguem forçar a criação de um novo utilizador com privilégios máximos de administrador e um endereço de email associado à conta de suporte original. O sistema gera então uma ligação de início de sessão automático, sem necessidade de palavra-passe, que é devolvida ao atacante.
Milhares de ataques bloqueados num dia
Com este nível de acesso, os criminosos têm a capacidade total para modificar os conteúdos do site, aceder a informações privadas, instalar código malicioso ou tomar o controlo definitivo de toda a plataforma afetada. A empresa de segurança indicou ter bloqueado mais de 3.600 tentativas de exploração desta falha num período de apenas 24 horas.
A vulnerabilidade foi inicialmente descoberta a 24 de março, com o programador do plugin a ser notificado a 16 de maio após a validação do problema. A correção foi oficialmente disponibilizada no dia 20 de maio através da versão 6.1.1 do WP Maps Pro. Todos os administradores que utilizem esta ferramenta devem garantir a atualização imediata dos seus sistemas para evitar potenciais intrusões.
Nenhum comentário
Seja o primeiro!